币探
在百度或 Google 搜"币安官网"时,出现的结果里往往混杂着竞价广告、媒体文章、第三方资讯、以及一批仿冒钓鱼站。真正的官方入口只有 binance.com,其他都要小心辨别。最稳妥的办法是记住从币安官网直接访问,或者下载币安官方APP从 APP 内进入,苹果用户可以看iOS安装教程完成安装。下面把搜索结果里的各类坑点讲清楚。
搜索引擎结果的四种类型
搜一次"币安官网",页面上大致会看到四类链接,分别是:付费广告位、自然排名的官方链接、媒体和资讯文章、伪装成官方的钓鱼站。
付费广告位(Sponsored)
Google 搜索结果页最顶部通常是 4 条 Sponsored 广告,百度搜索结果前 1-3 条带"广告"标记的也是竞价位。这些位置不是按质量排名,而是按出价拿到的。不法分子会花钱买"币安"关键词,把自己的仿冒站挂在第一条。直接点广告位风险最高。
自然排名
广告位以下是自然排名结果,通常真正的 binance.com 会出现在这里。但自然排名也不是 100% 安全,因为有些仿站通过 SEO 手段短期内也能获得较高排名。
媒体和资讯文章
CoinDesk、金色财经、Cointelegraph 这类行业媒体会大量报道币安,它们的文章也会出现在搜索结果里。这些内容本身可信,但不是币安官网。点进去是媒体的文章页,不是交易平台。
仿冒钓鱼站
这是最危险的一类。它们可能出现在广告位、也可能混进自然结果。视觉上可以做得跟币安一模一样,让你在上面输入账号密码然后盗走。
仿冒域名常见手法
识别真假要从域名入手,因为页面可以复制,域名却独一无二。常见的仿冒手法有下面几种。
字母替换
替换相似字母是最古老的手法,例如:
- binancе.com(其中的 е 是西里尔字母,不是英文 e)
- biinance.com(多一个 i)
- binanse.com(n 换成 s 后又加一个 n)
这些域名肉眼很难分辨,尤其是西里尔字母版,字形几乎一致。
Punycode 域名
这是更高级的手法,利用国际化域名(IDN)把非 ASCII 字符编码成 xn-- 开头的字符串。浏览器会把 xn--binance-xxx.com 渲染成看似正常的"binance.com",但实际上是完全不同的域名。辨别方法是看浏览器地址栏的实际字符串,而不是渲染效果。现代浏览器(Chrome、Firefox 最新版)对可疑 Punycode 域名会自动显示为 xn-- 形式,不会渲染,但旧浏览器不一定有这个保护。
前后缀伪造
在 binance 前后加修饰词,例如:
- login-binance.com
- binance-login.com
- www-binance.com(注意是横杠不是点)
- secure-binance.com
- binance-official.com
这些域名的主域根本不是 binance.com,前面的 binance 只是一个二级域名或子串。
后缀替换
把 .com 换成其他后缀:
- binance.net
- binance.org
- binance.cc
- binance.top
- binance.xyz
其中 .info、.bz 是币安官方持有的,其他大多不是。只记主域 binance.com 最不容易出错。
真假域名辨识对照
| 域名 | 是否官方 | 备注 |
|---|---|---|
| binance.com | 是 | 主域名 |
| www.binance.com | 是 | 主域名的 www 子域 |
| binance.info | 是 | 官方资讯 |
| binance.us | 是 | 美国公司独立运营 |
| biinance.com | 否 | 多字母仿冒 |
| binance-login.com | 否 | 前缀伪造 |
| binance.top | 否 | 后缀替换 |
| xn--binance-*.com | 否 | Punycode 攻击 |
表里只列了少数例子,实际上钓鱼域名每天都在诞生,记不完。记住 binance.com 这一条红线就够了。
一套安全搜索的流程
与其事后识别,不如事前规避。下面这套流程可以把搜索环节的风险降到最低。
第一次:手动输入
第一次访问币安时不要用搜索引擎,直接在浏览器地址栏键入 binance.com。这是唯一 100% 不会被骗的方式。
第二次起:用收藏夹
第一次访问核对无误后,立即收藏。以后从收藏夹点进,不要再搜索。
进阶方案:开启浏览器的 HTTPS-Only 模式
Chrome、Firefox、Edge 都有 HTTPS-Only 选项。开启后,访问任何 HTTP 协议的网址浏览器都会提示你,大大降低误点风险。
进阶方案:安装反钓鱼扩展
像 MetaMask 和一些密码管理器都有反钓鱼功能,能在你登录时检测域名是否在白名单。搭配使用可以多一道防线。
如果已经在假站输入了密码怎么办
万一不幸在钓鱼站输了账号,行动速度决定损失。
立即改密码
从真 binance.com 登录,进入安全设置,立刻更改登录密码。改密码后所有设备的会话会被强制退出,再重新登录一次。
开启 2FA
如果之前没开二次验证,现在立刻开。光改密码不够,因为攻击者可能已经记下了你的新密码。2FA 能让攻击者即使有密码也登不进去。
检查 API Key
进入 API 管理,看有没有陌生的 API Key。如果有,立刻删除。API Key 被盗可以让攻击者用程序快速提走你的资产。
检查提币白名单
查看提币白名单里有没有陌生的地址。如果有,立即删除并关闭无白名单提币功能。
联系客服
打开币安 APP 或网页的在线客服,说明情况。客服会指导你做进一步的账户检查。
常见问题解答
搜索引擎的第一条结果一定是真的吗
不是。第一条往往是广告位,出价最高者得。即使是自然排名第一,也要核对域名再点。
域名里多一个点或一个横杠还算同一个域名吗
不算。比如 binance.com 和 bin-ance.com 是两个完全不同的域名。任何改动都可能是仿冒。
如果我不确定,怎么快速验证
打开 APP,APP 里的链接都由币安控制。对着 APP 里的入口检查你在浏览器看到的域名是否一致。
HTTPS 锁头是不是就代表安全
不完全是。HTTPS 只代表传输加密,不代表网站身份真实。仿站也可以申请 HTTPS 证书,必须看证书颁发对象。锁头 + 正确域名 + 正确证书持有者三者齐全才算安全。
为什么币安不把假站告掉
币安确实在持续打击假站,和各大搜索引擎合作下架钓鱼广告。但假站可以几小时内换个域名重开,单纯靠下架追不过来。最终防线还是用户自己的警惕性。